Amazon Web Services ブログ

FISC 安全対策基準・解説書 (第 13 版) に対する AWS の対応

本ブログは、「金融機関向け AWS FISC 安全対策基準対応リファレンス」(以下、AWS FISC 安全対策基準対応リファレンス )と金融リファレンスアーキテクチャ日本版中の「AWS Well-Architected フレームワーク FSI Lens for FISC」(以下、FSI Lens for FISC)における「金融機関等コンピュータシステムの安全対策基準・解説書(第13版)」(以下、「FISC 安全対策基準・解説書(第 13 版)」)への対応についてまとめています。また、FSI Lens for FISC で参照した「AWS Well-Architected Framework Generative AI Lens」(以下、Gen AI Lens)についても補足しています。

1. FISC 安全対策基準・解説書に関しての AWS の取り組み

「FISC 安全対策基準・解説書」は、1985 年に初版が発行されて以来、金融機関のシステムアーキテクチャおよび運用に関する指針として多くの金融機関によって活用されています。より安全に AWS をご活用いただくために、AWS は「AWS FISC 安全対策基準対応リファレンス 」を提供しています。これは「FISC 安全対策基準・解説書」が求める各管理策に対する AWS の取り組みとお客様の責任範囲で実施する事項をまとめており、お客様はどなたでも入手することが可能です。

また、「FISC 安全対策基準・解説書」の各実務基準に沿って、金融サービス業界のワークロードにおける回復力、セキュリティ、および運用パフォーマンスを促進する方法を記載したドキュメントとして、「FSI Lens for FISC」を AWS は提供しています。お客様はどなたでも、このドキュメントもご利用いただけます。金融サービス業界の特性に依存しない一般的なベストプラクティス集である AWS Well-Architected フレームワークと合わせてご参照ください。

2. AWS FISC 安全対策基準対応リファレンス と FISC 安全対策基準・解説書(第 13 版)対応について

2025 年 3 月に「FISC 安全対策基準・解説書(第 13 版)」が公開されました。この公開に合わせて、「AWS FISC 安全対策基準対応リファレンス 」では主に以下の変更を行いました。

  • 「金融分野におけるサイバーセキュリティに関するガイドライン」に関する改訂への対応
  • AI の安全対策に関する改訂への対応AI の安全対策に関する改訂への対応

    • 詳細は、AWS FISC 安全対策基準対応リファレンスの PDF ファイルにおける赤色でハイライトされた箇所をご確認ください。

    図 1. FISC 安全対策基準対応リファレンスの例

    図 1. AWS FISC 安全対策基準対応リファレンスの例

    3. FSI Lens for FISC におけるアップデートについて

    「FISC 安全対策基準・解説書(第 13 版)」の公開に合わせ、FSI Lens for FISC では主に次のようなアップデートがあります。

  • 実務基準ごとの FSI Lens for FISC および AWS Well-Architected フレームワーク対応表(以下、対応表)の更新
  • FISCSEC5 において新たなベストプラクティス「FISCSEC5-BP05」を追加

    • 対応表の更新

    対応表は、FISC 安全対策基準・解説書(第 13 版)における各実務基準ごとに、準拠する上で参照できる AWS Well-Architected Framework と FSI Lens for FISC のベストプラクティスを記載したものです。

    本アップデートでは、FISC 安全対策基準・解説書(第 13 版)と AWS Well-Architected Framework と FSI Lens for FISC のベストプラクティスのマッピングを更新に加え、FISC 安全対策基準・解説書(第 12 版)に対する対応表を追記し、12 版から 13 版への変更箇所の明瞭化を行いました。また、対応する AWS Well-Architected Framework の柱を追加した理由を記載することで、変更理由を知ることができます。

    FISC 安全対策基準・解説書(第 13 版)では、AI・生成 AI の利用が急速に拡大していることを踏まえ、そのリスク対応のために新たな AI の安全対策に関する基準項目が新設されました。該当項目に対しては、Gen AI Lens を参照するように変更しました。

    Gen AI Lens は、AWS 上で生成 AI アプリケーションを構築する組織向けのリソースです。このリソースは、セキュリティ、効率性、スケーラビリティ、責任ある AI の原則に沿ったアプリケーション構築のためのガイダンスとベストプラクティスを提供します。Gen AI Lens は運用上の優秀性、セキュリティ、信頼性、パフォーマンス効率、コスト最適化、持続可能性という 6 つの主要な柱に基づき、モデル選択からデプロイ、継続的改善まで、生成 AI アプリケーションのライフサイクル全体にわたる実用的なインサイトを提供します。

    図 2. 対応表の例

    図 2. 対応表の例

    FISCSEC5-BP05 を追加

    FISC 安全対策基準・解説書(第 13 版)の実務基準においては、多要素認証(MFA)の実装に関する指摘があります。これまで、MFA に言及がある基準については、AWS Well-Architected Framework SEC 2 を参照してきましたが、金融サービス業界のワークロードで重要視される、複数デバイスの登録による Disaster Recovery 対応を考慮し、FISCSEC5-BP05 を追加しました。

    FISCSEC5-BP05 に沿った実装により、パスワードに加えて追加の認証要素により不正アクセスを防止し、複数の MFA デバイス登録により単一障害点を排除して事業継続性を確保できます。また、複数拠点への MFA デバイス配置により災害時の迅速な運用切り替えが可能となり、金融サービス業界で求められる厳格なセキュリティ要件への準拠を実現できます。

    図 3. FISCSEC-BP05

    図 3. FISCSEC-BP05

    まとめ

    AWS は金融サービス業界のお客様が安心して AWS をお使いいただけるように、「AWS FISC 安全対策基準対応リファレンス」と「金融リファレンスアーキテクチャ 日本版」を提供しています。本ブログでは、FISC 安全対策基準・解説書の第 12 版から第 13 版へのアップデートに合わせて、「AWS FISC 安全対策基準対応リファレンス」と「FSI Lens for FISC」を更新したことを報告しました。「FSI Lens for FISC」では、実務基準ごとの対応表の更新に加えて、MFA の実装に関するベストプラクティスを追加しました。これらのリソースにより、金融サービス業界のお客様がより安全に AWS を活用することに繋がれば幸いです。

    謝辞

    アマゾン ウェブ サービス ジャパン合同会社の下記メンバーで「AWS FISC 安全対策基準対応リファレンス」と「FSI Lens for FISC」の更新を行いました。

    AWS FISC 安全対策基準対応リファレンス:能仁信亮、神部洋介、佐藤航大、佐藤真也

    金融リファレンスアーキテクチャ日本版:辻本雄哉、松本耕一朗、神部洋介、佐藤航大、佐藤真也

    ShinyaSato

    佐藤真也

    アマゾンウェブサービスジャパン合同会社 フィナンシャルサービス技術本部 ソリューションアーキテクト

    AWS のストレージサービス全般が好きで、AWS Black Belt オンラインセミナーなどのイベントへの登壇にも力を入れています。